Quanto sono sicuri i siti web di Comuni e Province?

Da quando il Web è diventato uno strumento nelle mani delle Pubbliche Amministrazioni sono nati nuovi modi di interazione tra le stesse e la comunità. Perché le potenzialità di Internet potessero essere sfruttate appieno per poter elevare l’esperienza d’uso di cittadini e imprese è stato comunque necessario pensare ad un modo di promuovere nuove forme di utilizzo.

Risale al 2002 l’acquisizione compiuta dal Ministero per l’Innovazione e le Tecnologie, presieduto allora dal Ministro Lucio Stanca, del dominio di secondo livello “.gov.it” ad uso di tutti i siti dell’amministrazione centrale e periferica in grado di rispondere ad una serie di requisiti di qualità, accessibilità, usabilità, efficacia e sicurezza che sono stati fissati da una direttiva del 30 maggio 2002.

La direttiva ha disposto che ciascuna Amministrazione individuasse strutture di coordinamento (già esistenti o da istituire ad-hoc) alle quali affidare la messa in atto della normativa per l’uso del dominio “.gov.it” e l’interazione del portale nazionale “italia.gov.it” con le Pubbliche Amministrazioni e le diramazioni territoriali con lo scopo ultimo di disporre di portali che la comunità potesse utilizzare per la consultazione di leggi e decreti, per la richiesta di moduli e certificati e per fornire, in ultima istanza, i necessari servizi al cittadino e alle imprese.

L’iniziativa non ha purtroppo portato gli esiti sperati e il 9 marzo 2010 il Ministero per la Pubblica Amministrazione e l’Innovazione ha pubblicato le “Linee guida per i siti web della PA”, un compendio di indicazioni (tra l’altro più volte rinnovato negli anni successivi) da mettere in atto per migliorare la qualità dei siti web pubblici, per la loro gestione e il loro aggiornamento.

Ampio spazio è destinato al tema della sicurezza, con la definizione di una serie di caratteristiche che i siti devono possedere per poter offrire servizi affidabili. In questo rientrano i richiami all’ormai noto Decreto Legislativo 196 del 30 giugno 2003 “Codice in materia di protezione dei dati personali”, nonché ad alcuni articoli del Codice dell’Amministrazione Digitale per la sicurezza dei dati nell’ambito dei sistemi e delle infrastrutture delle P.A. nonché gli obblighi di pubblicità, trasparenza e diffusione di informazioni da parte delle stesse.

Insomma il legislatore in questi anni ha cercato di costruire un telaio normativo sul quale costruire siti web pubblici che possiedano una serie di caratteristiche volte all’erogazione di servizi e alla gestione di transazioni e dati con adeguati livelli di protezione perché i documenti oggetto di pubblicazione obbligatoria siano tutelati secondo i principi di disponibilità, affidabilità, e sicurezza.

Dopo aver affrontato gli approfondimenti sulle problematiche di sicurezza del mobile commerce, i risvolti più o meno oscuri delle criptovalute, e le complessità di sicurezza nella scelta di un provider cloud, vediamo oggi un ulteriore tema sviluppato all’interno del Rapporto Clusit 2014, e riguardante la sicurezza dei siti web delle pubbliche amministrazioni. Hanno firmato l’approfondimento Michele Iaselli, Vicedirigente del Ministero della Difesa presso il 10° Reparto Infrastrutture con incarico di Capo Ufficio Demanio e Servitù Militari a Napoli, Antonio Parata, ingegnere informatico all’interno del board di OWASP Italy che ha lavorato alla stesura della OWASP Testing Guide v2 e v3, e Sylvio Verrecchia, esperto nel settore Information Technology specie nei campi di Computer Forensics, Sicurezza Informatica e Privacy